luci-0.26.0-48.AXS4
エラータID: AXSA:2014-025:01
以下項目について対処しました。
[Security Fix]
- Luci の競合条件により権限を制限する前に,誰にでも読み込める権限で /var/lib/luci/etc/luci.ini を作成してしまい,ローカルのユーザがこのファイルを読み込むことができ, "authentication secrets" のような機密情報を取得できる脆弱性を修正しました。(CVE-2013-4481)
- Luci の python-paste-script には信頼できないサーチパスの脆弱性が存在し,この initscript を用いて開始すると,(1) 現在の作業ディレクトリあるいは (2) その親ディレクトリのトロイの木馬の .egg-info ファイルによって,ローカルのユーザが権限を得る脆弱性があります。(CVE-2013-4482)
[Bug Fix]
- 同時に加えるいくつかのフェンスデバイスのためのパラメータ ("cmd_prompt", "login_timeout", "power_timeout", "retry_on", "shell_timeout") あるいはそれぞれのインスタンス ("delay") が含まれておらず,妥当なパラメータが luci の専用フォームを送信する際に設定の対応する部分からドロップされてしまう問題を修正しました。
- 同時に加えるフェンスデバイスのカバレッジが luci に含まれていないため,Dell iDRAC (idrac), HP iLO2 (ilo2), HP iLO3 (ilo3), IBM Integrated Management Module (imm) デバイスあるいはエージェントが luci で反映されず,適切に動作しなかったり,それらのデバイスを含むクラスタを設定することができない問題を修正しました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
Race condition in Luci 0.26.0 creates /var/lib/luci/etc/luci.ini with world-readable permissions before restricting the permissions, which allows local users to read the file and obtain sensitive information such as "authentication secrets."
Untrusted search path vulnerability in python-paste-script (aka paster) in Luci 0.26.0, when started using the initscript, allows local users to gain privileges via a Trojan horse .egg-info file in the (1) current working directory or (2) its parent directories.
N/A
SRPMS
- luci-0.26.0-48.AXS4.src.rpm
MD5: 40b030d14dde7c9464a693625584ac98
SHA-256: d8baa005c252b515a70c759b82f020debd2aac4ff337f2b8408d6889734ef437
Size: 472.61 kB
Asianux Server 4 for x86
- luci-0.26.0-48.AXS4.i686.rpm
MD5: 0246d7e50b74708610c670dbb8009b56
SHA-256: 15f9c0ce34055959b969c5005a810d0fbb6da91366a1699ad6ff1f48f1ab0026
Size: 554.56 kB
Asianux Server 4 for x86_64
- luci-0.26.0-48.AXS4.x86_64.rpm
MD5: 129f7966ef6bbb44918ffa2a688452c1
SHA-256: 63474ce9e531c3ebddfff2c6218417524d9208e17b04ae0333ef963f6f27f6f5
Size: 554.31 kB